Как в dhcp найти mac адрес

Обновлено 09.09.2022

Добрый день! Уважаемые читатели IT блога Pyatilistnik.org. В прошлый раз мы с вами разобрались, как подключаться по RDP протоколу, сравнили разный софт под эти задачи. В сегодняшней публикации мы снова побудем системными администраторами и попробуем найти нужный MAC-адрес на DHCP сервере используя PowerShell запросы. Я покажу в каких ситуациях вам это может потребоваться и что может дать. Давайте приступать.

Постановка задачи

Очень часто перед системным администратором стоит задача в вычислении устройства по разным вводным, чаще всего это определить, кто использует определенный IP. Например, на Cisco преобразование mac-адреса в IP это базовая вещь, но в крупных компаниях чаще всего отдел отвечающий за сеть и отдел серверного обслуживания разнесены, и у администраторов не всегда даже может быть доступ на данное оборудование.

Если DHCP сервер развернут на базе Windows Server, то администратор может сам проводить нужные запросы. Предположим, что у пользователя заблокировалась учетная запись Active Directory, в событиях вы видите  MAC-адрес, но не видите сразу IP. Сотрудник хэлпдеска придет к вам и попросит вас поискать нужное устройство, умея пользоваться PowerShell-ом вы легко с этим справитесь. Еще вы можете легко по части MAC-адреса посчитать, сколько устройств определенного вендора арендовало у вас адреса, так что навык полезный.

Как искать нужный MAC-адрес на DHCP сервере в PowerShell

В своем примере я буду искать mac-адреса для устройств HP Inc. Ранее я вам рассказывал, что вендоры оборудования уже давно между собой поделили диапазоны адресов. HP Inc имеет один из уникальных идентификаторов организации “f8:0d:ac“.

Зная это, мы уже можем составлять запрос на PowerShell. Перейдите на сервер DHCP или на сервер, где установлен пакет RSAT с оснасткой DHCP, в противном случае при выполнении команды вы будите получать ошибку:

Правильным действием будет сразу найти в DNS список серверов, которые выступают в роли DHCP серверов, для этого выполните в PowerShell:

В моем примере их много, так что найдите нужные. Однако для дальнейшего использования в других командах вы можете сохранить имена возвращаемых серверов в переменной:

Как следует из названия, командлет возвращает список авторизованных DHCP-серверов, зарегистрированных в Active Directory. Это означает, что вы не найдете мошеннических DHCP-серверов, которые были подключены к сети без ведома IT-отдела, а это классическая ситуация, что разработчик принес свой роутер, чтобы WIFI себе раздать. Далее обращаться можно используя $dhcps.

Вот простая конструкция для поиска всех MAC-адресов, где присутствует “f8:0d:ac“, запрос я делаю локально на DHCP сервере.

В результате я вижу информацию по всем областям аренды (Scope), что есть на DHCP сервере. Тут вы получите:

• IP-адреса
• ScopeId
• ScopeId – Это и есть MAC-адреса
• HostName – DNS имя устройства
• AddressState – Состояние
• LeaseExpiryTime – Время истечения аренды

Если делаете это с другого компьютера, то не забывайте в конструкцию указывать -ComputerName имя DHCP.

Чтобы найти конкретный MAC-адрес по всем областям, выполните:

Еще вариантом скрипта, может выступать вот такая конструкция. Тут мы в явном виде задаем необходимые нам DHCP серверы в текстовом файле, подгружаем его и делаем запрос.

Чтобы посмотреть все области и арендованные IP выполните:

На этом у меня все. Мы с вами разобрали, как искать нужные MAC-адреса на DHCP сервере, тем самым определяя, что за компьютер стоит за ним. С вами был Иван Сёмин, автор и создатель IT портала Pyatilistnik.org.

Summary

The following three PowerShell cmdlets (and some specific parameters which will be listed later) can combine to obtain just the Mac address of a device that has a Dhcp lease:

• Get-DhcpServerv4Lease
• Where-Object
• Select-Object

Description

Rather self-explanatorily, Get-DhcpServerv4Lease will display information relating to all the leases contained in the specified scope, including the Mac address of our target device. This is a good start, but there is a lot of unwanted information being displayed. Let’s address that with some filtration.

Perhaps less self-explanatorily, Where-Object allows us to add a filtration criterion (or multiple filtration criteria) to our query. We will filter on the HostName property of the objects returned by Get-DhcpServerv4Lease so that only information pertaining to our target computer is displayed. We’ve now filtered out most of the unwanted information, but there is still some left. Let’s filter some more.

Definitely less self-explanatorily, Select-Object can perform even more filtration. We will filter on the ClientId property (which in this case is equivalent to the Mac address), thus discarding any information that is not the Mac address.

Show me the code!

When we put it all together with the help of the pipeline (note the “|” pipe character separating the cmdlets), it looks like this:

PS 7.2> $DhcpServerHostname     = "dhcpserver01"
PS 7.2> $DhcpScopeIpAddress     = "10.0.0.0"
PS 7.2> $TargetAbsoluteHostname = "pc01.example.domain"

PS 7.2> Get-DhcpServerv4Lease -ComputerName $DhcpServerHostname -ScopeId $DhcpScopeIpAddress | Where-Object -Property "HostName" -Like -Value $TargetAbsoluteHostname | Select-Object -ExpandProperty "ClientId"

01-23-45-67-89-AB

Notes

1. Yes, unfortunately, the Ip address of the Dhcp scope is required.
   For some reason, the team behind this cmdlet decided they wouldn’t
   allow searching across all scopes. Very frustrating, as it seems
   such a glaring omission. If you need help finding the Ip address for
   your target scope/s, ask another question.
2. The hostname I’ve used in the example is an absolute hostname. I
   would say it is more common for Dhcp entries to use the absolute
   name than not, hence the inclusion, but the relative hostname (i.e.
   pc01 in this case) may work instead. Alternatively, one could
   employ the use of a wildcard (i.e. an “*” asterisk in PowerShell), but
   an explanation of that might require a separate question be asked
   due to the added complexity it entails.

Update

Note, if you are looking to search for DHCP information across all or multiple DHCP servers in the forest then this is a quicker method. The below is still valid if you are searching a single server.

Sometimes in a large infrastructure it can be hard to find new devices added to the network. Being able to search on MAC address across all DHCP scopes comes in handy. With powershell and Windows DHCP server this is easy to do. You can use the RSAT tools or directly on the DHCP server. The only difference being with the RSAT tools you need to add the DHCP server name via the -ComputerName switch. To begin you can list all the leases on the current server with:

PS C:UsersAdministrator> Get-DhcpServerv4Scope | Get-DhcpServerv4Lease

Which should give you the following output:

That should be a full list of active leases, to narrow the results down by MAC address use:

PS C:UsersAdministrator> Get-DhcpServerv4Scope | Get-DhcpServerv4Lease -EA SilentlyContinue -ClientId 00-0c-29-dc-a5-3b

Resulting in:

The -EA blocks any failures from scopes that do not have any matches so makes the output nicer. Another handy tip is a quick way to find a free IP in a defined DHCP scope:

PS C:UsersAdministrator> Get-DhcpServerv4FreeIPAddress -ScopeId 10.10.100.0
10.10.100.53